Des installateurs de VPN contaminés sont utilisés pour fournir un logiciel de surveillance appelé EyeSpy dans le cadre d’une campagne de logiciels malveillants qui a débuté en mai 2022.

Il utilise « des composants de SecondEye – une application de surveillance légitime – pour espionner les utilisateurs de 20Speed VPN, un service VPN basé en Iran, via des installateurs troyens », a déclaré Bitdefender dans une analyse.

La majorité des infections proviendraient d’Iran, avec des détections plus petites en Allemagne et aux États-Unis, a ajouté la société roumaine de cybersécurité.

SecondEye, selon des instantanés capturés via Internet Archive, prétend être un logiciel de surveillance commercial qui peut fonctionner comme un « système de contrôle parental ou comme un chien de garde en ligne ». Depuis novembre 2021, il est proposé à la vente entre 99 $ et 200 $.

Il est livré avec un large éventail de fonctionnalités qui lui permettent de prendre des captures d’écran, d’enregistrer un microphone, d’enregistrer des frappes au clavier, de rassembler des fichiers et des mots de passe enregistrés à partir de navigateurs Web et de contrôler à distance les machines pour exécuter des commandes arbitraires.

SecondEye est passé sous le radar en août 2022, lorsque Blackpoint Cyber a révélé l’utilisation de ses modules de logiciels espions et de son infrastructure pour le stockage de données et de charges utiles par des acteurs inconnus. Le mécanisme d’accès initial utilisé dans ces incidents est actuellement inconnu.

Bogdan Botezatu, directeur de la recherche sur les menaces et des rapports chez Bitdefender, a déclaré à breachtrace que malgré l’utilisation des mêmes composants de logiciels espions, il n’y a pas suffisamment de preuves pour relier les deux ensembles d’activités à une seule campagne.

La dernière chaîne d’attaque commence lorsqu’un utilisateur sans méfiance télécharge un exécutable malveillant à partir du site Web de 20Speed VPN, indiquant deux scénarios plausibles : soit que ses serveurs ont été piratés pour héberger le logiciel espion, soit qu’il s’agit d’une tentative délibérée d’espionner des personnes susceptibles de télécharger des applications VPN pour les contourner. pannes d’Internet dans le pays.

Une fois installé, le service VPN légitime est lancé, tout en lançant furtivement un train d’activités néfastes en arrière-plan afin d’établir la persistance et de télécharger les charges utiles de la prochaine étape pour récolter les données personnelles de l’hôte.

« EyeSpy a la capacité de compromettre complètement la confidentialité en ligne via l’enregistrement de frappe et le vol d’informations sensibles, telles que des documents, des images, des portefeuilles cryptographiques et des mots de passe », a déclaré Janos Gergo Szeles, chercheur chez Bitdefender. « Cela peut entraîner des prises de contrôle complètes de comptes, des vols d’identité et des pertes financières. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *